பல தரவு மீறல்கள் எட் தொழில்நுட்ப நிறுவனமான செக் அதன் வீட்டுப்பாடம் செய்யவில்லை என்று கூறுகின்றன, இது FTC என்று குற்றம் சாட்டுகிறது

செக், இன்க்., கல்வி தயாரிப்புகள் மற்றும் சேவைகளை நேரடியாக உயர்நிலைப் பள்ளி மற்றும் கல்லூரி மாணவர்களுக்கு விற்கிறது. பாடப்புத்தகங்களை வாடகைக்கு எடுப்பது, உதவித்தொகைக்கான தேடலில் வாடிக்கையாளர்களை வழிநடத்துதல் மற்றும் ஆன்லைன் பயிற்சியை வழங்குதல் ஆகியவை இதில் அடங்கும். ஆனால் FTC இன் கூற்றுப்படி, ED தொழில்நுட்ப நிறுவனத்தின் தளர்வான பாதுகாப்பு நடைமுறைகள் ஒரு சில ஆண்டுகளில் நான்கு தனித்தனி தரவு மீறல்களை ஏற்படுத்தின, இது சுமார் 40 மில்லியன் நுகர்வோர் பற்றிய தனிப்பட்ட தகவல்களை முறைகேடாகப் பயன்படுத்துவதற்கு வழிவகுத்தது. FTC புகார் மற்றும் முன்மொழியப்பட்ட தீர்வில் சில குறிப்பிடத்தக்க விதிகள் CHEGG இல் தரவு பாதுகாப்பு புதுப்பிப்பு பாடநெறிக்கான நேரம் என்று கூறுகின்றன. செக் தரத்தை உருவாக்கத் தவறிவிட்டது என்று எஃப்.டி.சி கூறும் இடத்திலிருந்து உங்கள் நிறுவனம் கற்றுக்கொள்ளக்கூடிய பாடங்கள் உள்ளதா?

அதன் வணிகத்தின் போது, ​​கலிபோர்னியாவை தளமாகக் கொண்ட செக், அவர்களின் வாடிக்கையாளர்களில் பலரைப் பற்றிய தனிப்பட்ட தகவல்களின் புதையலை சேகரித்தது, இதில் அவர்களின் மத தொடர்பு, பாரம்பரியம், பிறந்த தேதி, பாலியல் நோக்குநிலை, குறைபாடுகள் மற்றும் பெற்றோரின் வருமானம் ஆகியவை அடங்கும். சைபர் பாதுகாப்புக்கு பொறுப்பான செக் ஊழியர் கூட அதன் உதவித்தொகை தேடல் சேவையின் ஒரு பகுதியாக சேகரிக்கப்பட்ட தரவை “மிகவும் உணர்திறன்” என்று விவரித்தார்.

செக்கின் தகவல் தொழில்நுட்ப உள்கட்டமைப்பின் ஒரு முக்கிய அங்கம் எளிய சேமிப்பக சேவை (எஸ் 3), அமேசான் வலை சேவைகள் (AWS) வழங்கும் கிளவுட் சேமிப்பு சேவை, இது செக் கணிசமான அளவு வாடிக்கையாளர் மற்றும் பணியாளர் தரவுகளை சேமிக்க பயன்படுத்தியது. விவரங்களுக்கான புகாரை நீங்கள் படிக்க விரும்புவீர்கள், ஆனால் நிறுவனத்தின் தளர்வான பாதுகாப்பு நடைமுறைகளைக் குறிக்கும் செக் என்ன செய்தார் – மற்றும் செய்யவில்லை என்பதற்கான பல எடுத்துக்காட்டுகளை FTC மேற்கோள் காட்டுகிறது. எடுத்துக்காட்டாக, FTC குற்றம் சாட்டுகிறது:

• அனைத்து தகவல்களிலும் முழு நிர்வாக சலுகைகளை வழங்கும் ஒற்றை அணுகல் விசையுடன் S3 தரவுத்தளங்களை அணுக ஊழியர்களுக்கும் மூன்றாம் தரப்பு ஒப்பந்தக்காரர்களுக்கும் செக் அனுமதித்தது.
• S3 தரவுத்தளங்களுக்கான கணக்கு அணுகலுக்கு CHEGG க்கு பல காரணி அங்கீகாரம் தேவையில்லை.
• தரவை குறியாக்குவதற்குப் பதிலாக, செக் பயனர்கள் மற்றும் ஊழியர்களின் தனிப்பட்ட தகவல்களை எளிய உரையில் சேமித்து வைத்தார்.
• குறைந்தது ஏப்ரல் 2018 வரை, காலாவதியான கிரிப்டோகிராஃபிக் ஹாஷ் செயல்பாடுகளுடன் செக் “பாதுகாக்கப்பட்ட” கடவுச்சொற்களை.
• குறைந்தது ஏப்ரல் 2020 வரை, ஊழியர்களுக்கும் ஒப்பந்தக்காரர்களுக்கும் போதுமான தரவு பாதுகாப்பு பயிற்சியை வழங்க செக் தவறிவிட்டார்.
• வாடிக்கையாளர்கள் மற்றும் பணியாளர்களின் தனிப்பட்ட தகவல்களை சரக்குதல் மற்றும் நீக்குவதற்கான செயல்முறைகள் செக்கிற்கு இல்லை.
• செக் அதன் நெட்வொர்க்குகளை அதன் கணினியிலிருந்து பதுங்குவதற்கும் சட்டவிரோதமாக முக்கியமான தரவை மாற்றுவதற்கும் அங்கீகரிக்கப்படாத முயற்சிகளுக்காக போதுமான அளவு கண்காணிக்கத் தவறிவிட்டார்.

தனிப்பட்ட தகவல்களை சட்டவிரோதமாக வெளிப்படுத்த வழிவகுத்த நான்கு தனித்தனி அத்தியாயங்களையும் புகார் விவரிக்கிறது என்பது ஆச்சரியமாக இருக்க வேண்டுமா? சம்பவம் #1 ஊழியர்களின் நேரடி வைப்பு ஊதிய தகவல்களை தரவு திருடன் அணுக அனுமதிக்கும் ஃபிஷிங் தாக்குதலுக்கு செக் ஊழியர்களிடமிருந்து தோன்றியது. சம்பவம் #2 ஒரு முன்னாள் ஒப்பந்தக்காரரை உள்ளடக்கியது, அவர் நிறுவனத்தின் எஸ் 3 தரவுத்தளங்களில் ஒன்றிலிருந்து முக்கியமான பொருள்களைப் பிடிக்க செக்கின் AWS நற்சான்றிதழைப் பயன்படுத்தினார் – இது ஒரு பொது வலைத்தளத்திற்கு இறுதியில் அதன் வழியைக் கண்டறிந்தது.

பின்னர் சம்பவம் #3: ஒரு மூத்த செக் நிர்வாகியை எடுத்துக் கொண்ட ஒரு ஃபிஷிங் தாக்குதல் மற்றும் நிறுவனத்தின் மல்டிஃபாக்டர் மின்னஞ்சல் அங்கீகார முறையைத் தவிர்ப்பதற்கு ஊடுருவும் நபரை அனுமதித்தது. நிர்வாகியின் மின்னஞ்சல் பெட்டியில் ஒருமுறை, ஊடுருவும் நபருக்கு நிதி மற்றும் மருத்துவ தகவல்கள் உட்பட நுகர்வோர் பற்றிய தனிப்பட்ட தகவல்களை அணுகலாம். சம்பவம் #4 இல், ஊதியத்திற்கு பொறுப்பான ஒரு மூத்த ஊழியர் மற்றொரு ஃபிஷிங் தாக்குதலுக்கு சரிந்தார், இதன் மூலம் நிறுவனத்தின் ஊதிய முறைக்கு ஊடுருவும் அணுகலை வழங்கினார். ஊடுருவும் நபர் சுமார் 700 தற்போதைய மற்றும் முன்னாள் ஊழியர்களின் W-2 தகவல்களுடன், அவர்களின் பிறந்த தேதிகள் மற்றும் சமூக பாதுகாப்பு எண்கள் உட்பட.

புகாரில் மேற்கோள் காட்டப்பட்ட நான்கு சம்பவங்களில் ஒவ்வொன்றிலும், செக் எளிய முன்னெச்சரிக்கை நடவடிக்கைகளை எடுக்கத் தவறிவிட்டதாக FTC குற்றம் சாட்டுகிறது இது நுகர்வோர் மற்றும் பணியாளர் தரவுகளுக்கான அச்சுறுத்தலைத் தடுக்க அல்லது கண்டறிய உதவியிருக்கும் – எடுத்துக்காட்டாக, ஊழியர்கள் ஒரு ஃபிஷிங் முயற்சியின் டெல்டேல் அறிகுறிகளில் தரவு பாதுகாப்பு பயிற்சியை எடுக்க வேண்டும்.

வழக்கைத் தீர்ப்பதற்கு, செக் அதன் தரவு பாதுகாப்பு நடைமுறைகளை விரிவாக மறுசீரமைக்க ஒப்புக் கொண்டுள்ளது. முன்மொழியப்பட்ட உத்தரவின் ஒரு பகுதியாக, செக் அது சேகரிக்கும் தனிப்பட்ட தகவல்களை அமைக்கும் ஒரு அட்டவணையைப் பின்பற்ற வேண்டும், அது ஏன் தகவல்களை சேகரிக்கிறது, அது தரவை எப்போது நீக்குகிறது. கூடுதலாக, செக் வாடிக்கையாளர்களுக்கு அவர்களைப் பற்றி சேகரிக்கப்பட்ட தகவல்களை அணுக வேண்டும் மற்றும் அந்த தரவை நீக்குவதற்கான கோரிக்கைகளை க honor ரவிக்க வேண்டும். செக் வாடிக்கையாளர்களுக்கும் ஊழியர்களுக்கும் இரண்டு காரணி அங்கீகாரம் அல்லது அவர்களின் கணக்குகளைப் பாதுகாக்க உதவும் மற்றொரு அங்கீகார முறையை வழங்க வேண்டும். பெடரல் பதிவேட்டில் முன்மொழியப்பட்ட உத்தரவு தோன்றியதும், எஃப்.டி.சி 30 நாட்களுக்கு பொது கருத்துக்களை ஏற்றுக் கொள்ளும்.

செக்கின் படிப்பினைகளிலிருந்து மற்ற நிறுவனங்கள் என்ன கற்றுக்கொள்ள முடியும்?

முக்கியமான தகவல்களை சேமிக்கும்போது சிறப்பு கவனிப்பு. உங்கள் நிறுவனம் அதன் வசம் உள்ள முக்கியமான தகவல்களைக் கொண்டிருந்தவுடன், அதைப் பாதுகாப்பாக வைத்திருப்பதற்கான உங்கள் கடமையின் அடிப்படையில் நீங்கள் முன்னேறுகிறீர்கள். தரவு கடந்துவிட்டதாக முறையான வணிகம் பராமரிக்க வேண்டியவுடன், பாதுகாப்பு ஆர்வமுள்ள நிறுவனங்கள் அதை பாதுகாப்பாக அப்புறப்படுத்துகின்றன. ஆனால் ஒருவேளை அந்த வகையான ரகசிய தரவு உங்களுக்கு முதன்முதலில் தேவையா என்பதுதான் ஆரம்ப கேள்வி. நீங்கள் அதை சேகரிக்கவில்லை என்றால், நீங்கள் அதைப் பாதுகாக்க வேண்டியதில்லை.

முக்கியமான தகவல்களுக்கான அணுகலைக் கட்டுப்படுத்துங்கள். உங்களுக்கு பிடித்த இசைக்குழு நகரத்திற்கு வரும்போது அனைத்து அணுகல் பின்னணி பாஸ் ஒரு குண்டு வெடிப்பு போல் தெரிகிறது, ஆனால் இது உங்கள் நிறுவனத்தில் தரவை நிர்வகிப்பதற்கான ஒரு பயங்கரமான யோசனை. ஊழியர்கள் மற்றும் ஒப்பந்தக்காரர்களுக்கான அணுகலைக் கட்டுப்படுத்துங்கள், அந்த தரவு அவர்களின் வேலையின் முக்கிய அங்கமாக இருக்கும். ஆனால் திட்டம் முடிந்ததும் அல்லது அவர்களின் கடமைகள் மாறும்போது, ​​உடனடியாக அவர்களின் அணுகலை துண்டிக்கவும்.

தரவு சம்பவங்களுக்கு உடனடியாகவும் உறுதியாகவும் பதிலளிக்கவும். செக் இருந்தது கோடிட்டுக் காட்டப்பட்ட அடிப்படைகளைத் தொடர்ந்து பாதுகாப்புடன் தொடங்குங்கள் . ஆனால் ஒரு தரவு பாதுகாப்பு சம்பவத்தை அனுபவிப்பது – நிச்சயமாக நான்கு தரவு பாதுகாப்பு சம்பவங்கள் – செக்கின் நடைமுறைகள் குறித்து விரிவான மதிப்பாய்வைத் தூண்டியிருக்க வேண்டும்.

வழக்கமான உள் பாதுகாப்பு பயிற்சியை நடத்துங்கள். உங்கள் போர்டிங் செயல்முறையின் ஒரு பகுதியாக, உங்கள் பாதுகாப்பு தரங்களைப் பற்றி புதிய ஊழியர்களுக்கும் ஒப்பந்தக்காரர்களுக்கும் கல்வி கற்பிக்கவும். அச்சுறுத்தல்கள் மற்றும் அபாயங்கள் மாறும்போது மீண்டும் புதுப்பிப்புகளுடன் அவ்வப்போது பின்தொடரவும். உள்-வீட்டுப் பயிற்சி சில நேரங்களில் கண் ரோல்களைத் தூண்டக்கூடும் என்பதை நாங்கள் அறிவோம்-அந்த மோசமான உயர்நிலைப் பள்ளி சுகாதார வகுப்பு திரைப்பட கீற்றுகளை நாங்கள் குறை கூறுகிறோம்-ஆனால் தரவு பாதுகாப்பு பயிற்சி சலிப்படைய வேண்டிய எந்த சட்டமும் இல்லை. ஆமாம், நீங்கள் உங்கள் ஐடி ஊழியர்களை ஈடுபடுத்த வேண்டும், ஆனால் உங்கள் நிறுவனத்தில் படைப்பாற்றல் நபர்களுடனும் கலந்தாலோசிக்கவும். வண்ணம், வீடியோ, வினாடி வினாக்கள், ஐஆர்எல் கதைகள் போன்றவை உங்கள் பார்வையாளர்களை ஈடுபடுத்த உதவும். நீங்கள் புதிதாக தொடங்க வேண்டியதில்லை. FTC கள் சிறு வணிக வளங்களுக்கான இணைய பாதுகாப்பு சில உத்வேகம் அளிக்கலாம்.